美国OWASP基金会著的《应用软件安全代码审查指南》分为两大部分，共15章。第一部分包含第1～4章，介绍了安全代码审查的作用和方法，以及在软件安全开发生命周期（S-SDLC）代码审查过程中查找安全漏洞的方法。第二部分包含第5～15章，介绍2013年版《OWASP Top 10》中提出的安全风险的处理方法和技术，以及其他漏洞处理的方法和技术。
本书适合软件研发组织机构的高层管理人员、专业技术负责人、开发人员、测试人员和软件安全人员，以及高等院校软件工程、网络安全专业的师生等阅读学习。

OWASP中国//SecZone，OWASP基金会是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究，在业界具有很大的影响力。作为OWASP面向中国的区域分支，OWASP中国自2006年正式启动，目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员5000多名，形成了强大的专业技术实力和行业资源聚集能力，有力推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展，成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。
作为OWASP中国的运营中心，互联网安全研究中心（Security Zone，简称SecZone）是国内知名的独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨，专注于互联网安全前沿技术和OWASP项目的深度研究，常年组织开展各类开源培训及沙龙活动，致力于通过对国内外技术、资源的整合、应用和创新，更好地服务业界同仁、服务行业发展，更有力地推动国内互联网安全技术的进步与升级。

第1章 如何使用《应用软件安全代码审查指南》
第2章 安全代码审查
2.1 为什么代码有漏洞
2.2 代码审查和安全代码审查之间的区别是什么
2.3 什么是安全代码审查
2.4 确定安全代码审查的范围
2.5 我们不能破解自己的安全性
2.6 安全代码审查和渗透测试耦合
2.7 安全代码审查对开发实践的好处
2.8 安全代码审查的技术
2.9 安全代码审查与合规性
第3章 安全代码审查的方法论
3.1 制定安全代码审查流程时需要考虑的因素
3.1.1 风险
3.1.2 目的与背景
3.1.3 代码行数
3.1.4 编程语言
3.1.5 资源、时间和期限
3.2 在S-SDLC中集成安全代码审查
3.3 何时进行安全代码审查
3.4 敏捷和瀑布开发中的安全代码审查
3.5 基于风险的安全代码审查方法
3.6 安全代码审查准备
3.7 安全代码审查发现和信息收集
3.8 静态代码分析
3.9 应用威胁建模
3.10 度量指标和安全代码审查
3.11 代码爬行
第4章 安全代码审查注意事项
第5章 A1注入攻击
5.1 概述
5.2 概览
5.3 SQL盲注
5.3.1 SQL查询参数化
5.3.2 安全的字符串拼接
5.3.3 运用灵活的参数化语句
5.3.4 PHP SQL注入
5.3.5 Java SQL注入
5.3.6 .NET SQL注入
5.3.7 参数集合
5.4 要点回顾
5.5 OWASP参考资料
5.6 其他参考资料
第6章 A2失效的身份认证和会话管理
第7章 A3跨站脚本攻击（XSS）
第8章 A4不安全的直接对象引用
第9章 A5安全配置错误
第10章 A6敏感数据暴露
第11章 A7功能级权限控制缺失
第12章 A8跨站请求伪造（CSRF）
第13章 A9使用含有已知漏洞的组件
第14章 A10未经验证的重定向和转发
第15章 其他技术
附录A 软件安全开发生命周期图表
附录B 安全代码审查清单
附录C 威胁建模示例
附录D 代码爬虫
附录E 参考资料